本發明實施例提供一種惡意程序檢測方法、裝置、電子設備及存儲介質，該方法包括：獲取檢測文件，對檢測文件類型進行識別；在所述檢測文件為源代碼文件時，將所述檢測文件轉換為詞法單元序列；將所述詞法單元序列輸入第一預設惡意程序檢測模型進行分類檢測，得到所述詞法單元序列的檢測結果；其中，所述第一預設惡意程序檢測模型是根據帶程序類別標簽的樣本詞法單元序列訓練得到的。可以適用于無需特征簽名庫的深度學習模型，檢測流程的一次優化和定型即可應對未來相當一段時間的未知威脅檢測，無需頻繁更新特征提取規則以及特征簽名庫，免除了對惡意程序樣例的人工特征分析和特征簽名提取的繁雜過程。

技術領域

本發明涉及計算機技術領域，尤其涉及一種惡意程序檢測方法、裝置、電子設備及存儲介質。

背景技術

隨著網絡技術的發展，惡意程序呈現出傳播速度更快、破壞能力更強、數量龐大、變化多端(更多地使用代碼混淆、代碼變異、代碼加密等技術)的特點，給惡意程序檢測工作帶來巨大挑戰。

當前網絡安全產品普遍使用的惡意程序檢測方法主要有兩種：

一是基于特征碼掃描技術的傳統惡意程序檢測方法。其基本原理是：人工分析并提取已知惡意程序樣例中的特征數據，即特征簽名，如文件名、一段特殊代碼或字符串、文件哈希值等，該特征簽名能唯一識別該類型惡意程序，將其添加到惡意程序特征簽名庫中，在檢測時搜索惡意程序特征簽名庫，查找是否存在匹配的特征簽名來判別目標是否為惡意程序，若匹配則為惡意程序，反之則為正常程序。

二是基于傳統分類算法/傳統機器學習技術的啟發式惡意程序檢測方法。該方法由人工預先編制文件特征提取規則，應用該規則從文件中提取的特征將反映文件的行為屬性，是否存在惡意行為。這些文件特征再被輸入傳統分類算法/傳統機器學習方法，最終由傳統分類算法/傳統機器學習方法給出文件的分類結果，判定是否為惡意程序，以及相關的置信度/概率值。該類方法的目標是通過啟發式規則/算法分析量化的文件特征，試圖發現特征簽名庫中仍未包含的新惡意程序，即未知威脅程序。

但是當前的惡意程序檢測方法中，啟發式技術強依賴于人工制定的特征提取策略，需要特征提取方面的先驗知識。同時若當前策略不能用以較好地抽取未知威脅程序的特征時，該啟發式技術將失效，同時，基于特征提取策略的啟發式檢測，對于未知威脅程序預測的能力不佳。

因此如何更好的實現惡意程序檢測已經成為業界亟待解決的問題。

發明內容

本發明實施例提供一種惡意程序檢測方法、裝置、電子設備及存儲介質，用以解決上述背景技術中提出的技術問題，或至少部分解決上述背景技術中提出的技術問題。

第一方面，本發明實施例提供一種惡意程序檢測方法，包括：

獲取檢測文件，對檢測文件類型進行識別；

在所述檢測文件為源代碼文件時，將所述檢測文件轉換為詞法單元序列；

將所述詞法單元序列輸入第一預設惡意程序檢測模型進行分類檢測，得到所述詞法單元序列的檢測結果；

其中，所述第一預設惡意程序檢測模型是根據帶程序類別標簽的樣本詞法單元序列訓練得到的。

更具體的，在所述獲取檢測文件，對檢測文件類型進行識別的步驟之后，所述方法還包括：

在所述檢測文件為可執行文件時，將所述檢測文件轉換為像素矩陣；

將所述像素矩陣輸入第二預設惡意程序檢測模型進行分類檢測，得到所述像素矩陣的檢測結果；

其中，所述第二預設惡意程序檢測模型是根據帶程序類別標簽的樣本像素矩陣訓練得到的。

更具體的，在所述檢測文件為源代碼文件時，將所述檢測文件轉換為詞法單元序列的步驟，具體包括：